河北網絡安全博客

河北博客是一個關注網絡安全、網站設計、網站推廣、網站優化SEO、網站建設的河北地方博客。

« 16家上市銀行日賺30億 利息收入仍為主要來源廣州警方:河北保定女子借愛國之名煽動破壞地鐵被警告 »

有圖有真相 百度工程師設餌釣魚實驗發現360瀏覽器抓取用戶隱私

        今天上午,360搜索推出獨立域名,周鴻祎強調360搜索是基于機器學習技術的第三代搜索引擎,具備“自學習、自進化”能力,發現用戶最需要的搜索結果。360搜索的機器學習究竟有何奧秘?百度工程師通過一個設餌釣魚的實驗,讓360瀏覽器抓取用戶隱私的秘密暴露無遺。

        首先,百度工程師制作了一個保存在服務器個人文件夾下的簡單網頁,沒有任何外鏈,由于搜索引擎爬蟲只能通過鏈接爬行網頁,因此這個網頁是完全封閉的,不可能被搜索引擎抓取到。

        第二步,百度工程師用360瀏覽器打開了這個網頁。并通過各種搜索引擎不間斷試驗,顯示網頁均未被抓取。

        但約2小時之后,卻發生了令人大跌眼鏡的事情。百度工程師試著在360搜索中輸入以上關鍵詞,結果這個網頁赫然出現在搜索結果第一行,并可以直接點擊進入瀏覽網頁內容。再換百度、谷歌(微博)、搜狗、搜搜等其他瀏覽器搜索相同內容,卻仍然無法返回相應網頁。

        為什么一個完全封閉的網頁竟然能被360搜索引擎抓取到,并呈現在搜索結果之中?百度工程師解釋道,核心原因就在于他曾用360瀏覽器打開過這個網頁。

        在360瀏覽器的隱私策略中,注明了360安全瀏覽器會在用戶的計算機上記錄有關瀏覽歷史記錄的實用信息。這些信息包括: 瀏覽歷史記錄、用戶訪問過的大部分網頁的的屏幕截圖、Cookie或網絡存儲數據、訪問網站時留下的臨時文件、地址欄下拉列表、最近關閉的標簽列表、關閉窗口時的未關閉標簽列表、使用內置安全下載器的下載記錄、瀏覽器插件中保存的內容等。

        360搜索的爬蟲正是根據360瀏覽器抓取的數據信息,再去相應的網頁爬取內容快照。由此,360搜索就能成功抓取一個完全封閉的網頁。

        這一釣魚流程揭示了360搜索存在可怕的安全隱患:只要您通過360瀏覽器訪問過一個網頁,無論是包含私人賬號密碼的信息,還是公司內網機密數據信息,360瀏覽器都能夠記錄下來,并讓360搜索爬蟲抓取、上傳到360服務器上。其他用戶用360搜索查詢相關關鍵詞時,都可能直接查看您的機密數據!

        如果一位證券公司的工作人員,不慎用360瀏覽器查看了客戶的姓名、銀行賬號、密碼等信息,那么有人在360搜索了某個客戶姓名,那么所有客戶的賬號和密碼可能就會公之于眾;如果一個公司高層,用360瀏覽器查看了公司內部機密數據,那么這個公司的核心商業機密可能就會被競爭對手直接搜索到。 

站內導讀:
[360安全衛士可能攔截百度廣告 百度360攻防戰升級]
[河北博客:360推瀏覽器應用開放平臺 斥百萬吸引開發者 ]
[河北博客:百度鳳巢吸金術威力不減 濫權現監管缺位]




  • quote 33.白癜風基金
  • http://4000101199.com

  • 不要讓夢想毀在別人的嘴里,因為別人不會為你的夢想負責.所以請百分之一萬的相信你自己.不要躊躇,不要害怕失敗,即使是最親近的朋友也只能給你建設性的意見,最終,我們還是要為自己的夢想負責,而不是活在別人的世界。

    白癜風援助http://wap.4000101199.com
  • 2016-10-27 15:38:30 回復該留言

發表評論:

◎歡迎參與討論,請在這里發表您的看法、交流您的觀點。

訂閱河北博客

  • 訂閱我的博客:訂閱我的博客
  • 關注新浪微博:關注新浪微博
  • 關注騰訊微博:關注騰訊微博
  • google reader
  • 鮮果
  • 抓蝦
  • QQ邮箱

河北博客站內搜索

河北博客相關鏈接

河北博客熱文排行

Powered By kingwq's blog

本站采用創作共用版權協議, 要求署名、非商業用途和保持一致. 轉載本站內容必須也遵循“署名-非商業用途-保持一致”的創作共用協議.
This site is licensed under a Creative Commons Attribution-NonCommercial-ShareAlike 2.5 License.冀ICP備09002514號.Copyright www.nfwwds.tw.2010

云南快乐十分走势图基本走势图百度